Spam über Webformular

Rund um die Sicherheit des Systems und die Applikationen
bennle
Posts: 77
Joined: 2005-06-09 17:56

Spam über Webformular

Post by bennle » 2006-07-25 10:49

Hallo,
Ich bekomme immer mehr Spam auf meine Emailadresse über das Webformular. Ebenfalls wird das Gästebuch so gemüllt.

Könnt Ihr mir sagen, wie dies geschieht?

Code: Select all

-----Ursprüngliche Nachricht-----
Von: WWW daemon apache [mailto:wwwrun@mein-server.de] 
Gesendet: Dienstag, 25. Juli 2006 09:52
An: webmaster@speed-forum.de
Betreff: Nachricht über http://website.de/

 

FROM Collin<webmaster@website.de>

 

Hallo Administrator,

am 25.07.2006 um genau 09:07:01 Uhr wurde eine Nachricht über http://website.de/ gesendet.

 

Name: Collin

E-Mail: xxdylonxxx@hotmail.com

 

Rodrick

 

721c2f36bd450658ecfbb0abdf5784c1  <a href="http://logos.xdiscussion.org/fuck-pussy-anal524.html"> fuck-pussy-anal524.html </a>  http://critical.medrxpills.org/darvocet-and-dosage86.html  <a href="http://bumble.xdiscussion.org/homosexual-rights-timeline318.html"> homosexual-rights-timeline318.html </a>  <a href="http://nissa.xdiscussion.org/free-asian-ladyboy49.html"> free-asian-ladyboy49.html </a>  http://breaking.mainpills.org/quit-smoking-with464.html  <a href="http://neuro.xdiscussion.org/free-online-anime1039.html"> free-online-anime1039.html </a>  <a href="http://zyprexa.meether.org/aol-chatting415.html"> aol-chatting415.html </a>  http://critical.medrxpills.org/drug-interactions-with114.html  <a href="http://wingz.xdiscussion.org/celebrity-butts143.html"> celebrity-butts143.html </a>  <a href="http://salior.xdiscussion.org/huge-clit-clips533.html"> huge-clit-clips533.html </a>  http://zovirax.mainpills.org/interaction-lexapro-meridia636.html  <a href="htt  p://cause.meether.org/the-police-so237.html"> the-police-so237.html </a>  <a href="http://library.mainpills.org/finger-numbness-and422.html"> finger-numbness-and422.html </a>  http://cure.medrxpills.org/viagra-sucking134.html  <a href="http://esophagus.medrxpills.org/soma-a-226400.html"> soma-a-226400.html </a>  <a href="http://starporn.somigliante.org/facial-hair-in431.html"> facial-hair-in431.html </a>  http://substitute.meether.org/free-fictional-office991.html  <a href="http://quail.xdiscussion.org/over-the-knee513.html"> over-the-knee513.html </a>  <a href="http://slang.mainpills.org/symptoms-of-prednisone128.html"> symptoms-of-prednisone128.html </a>  http://mare.medrxpills.org/buy-phentermine-diet211.html  <a href="http://blood.mainpills.org/potassium-permanganate-msds147.html"> potassium-permanganate-msds147.html </a>  <a href="http://lithium.mainpills.org/tramadol-hydrochloride-tablets296.html"> tramadol-hydrochloride-tablets296.html </a>  http://phot  o.meether.org/vacaville-casual-encounters185.html  <a href="http://soreness.mainpills.org/phentermine-prices461.html"> phentermine-prices461.html </a>  33766d282efd27c3468309e546e247c5

oder soetwas im Gästebuch

Code: Select all

 Content-Type: multipart/alternative; boundary=c6f202fc788bb36d1f2b41da2f3018ec Subject: cc: arcemarleIa@aol.com This is a multi-part message in MIME format. --c6f202fc788bb36d1f2b41da2f3018ec Content-Transfer-Encoding: 7bit Content-Type: text/plain --c6f202fc788bb36d1f2b41da2f3018ec Content-Transfer-Encoding: base64 Content-Type: text/plain --c6f202fc788bb36d1f2b41da2f3018ec-- . schrieb am 24.07.2006, 06:37 Uhr
Ich habe schon einiges gemacht, aber immer wieder diese Spams!

Ich bitte um Hilfe.

MfG
Bennle

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Spam über Webformular

Post by Roger Wilco » 2006-07-25 10:53

bennle wrote:Könnt Ihr mir sagen, wie dies geschieht?
Die vom Benutzer übergebenen Parameter werden von dir nicht ausreichend geprüft. Vermutlich kann man in deinem Kontaktformular noch eigene E-Mail-Header angeben.

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: Spam über Webformular

Post by wgot » 2006-07-26 00:38

Hallo,
Könnt Ihr mir sagen, wie dies geschieht?
ganz einfach: Mailformular und Gästebuch werden genutzt. :roll:

Natürlich nicht umständlich von Hand, sondern ein Programm spielt Browser und ruft die Dokumente entsprechend auf. Leider haben die entsprechenden Spamtools inzwischen eine unangenehme "Intelligenz" entwickelt, mit Standardtricks kommt man nicht weiter weil die Spamtools Standardlösungen zu deren Umgehung enthalten.

Gruß, Wolfgang

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Spam über Webformular

Post by lord_pinhead » 2006-07-26 14:25

Paste doch mal das Script her, wie wgot schon gesagt hat wird das Problem am Header liegen das du die Adresse nicht hardcodest und damit einem Spammer Tür und Tor öffnest.

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Spam über Webformular

Post by static » 2006-07-26 18:28

Hi

Ähm wie kommt ihr alle darauf, dass er die Adresse nicht hardgecodet hat? Sieht für mich zumindest ziemlich so aus - warum sollte ein Spammer sonst an webmaster@speed-forum.de senden?

Ich gehe eher davon aus, dass er jetzt einfach den ganzen Spam abekommt, weil der Spambot davon ausgeht, dass es eigentlich n Gästebuch o.ä. ist...

Wie auch immer @bennle:

Falls die anderen beiden doch richtig liegen: Empfänger E-Mail Adresse unbedingt hardcoden.

Ansonsten gibt's verschiedene Möglichkeiten da was dran zu ändern, wobei einige für "normale" Anfragen nicht gerade benutzerfreundlich sind. Was mir da so auf Anhieb einfallen würde:

- HTML Tags und den üblichen Spamwortschatz (porn, viagra etc.) in eine Blacklist, diese beim Absenden überprüfen und ne Meldung ausgeben - Richtige User wissen sofort was das Problem war, Spambots kriegen davon nichts mit. Funktioniert imho momentan noch ziemlich gut, da diese Wörter von den vielen aktuellen Spambots noch nicht so gemieden werden, wie in Spammails. Ausserdem füllen viele Bots stupide Duzende Male das gleiche Form aus.

- Ein Captcha einbauen oder irgendetwas, womit Bots nicht gut zurecht kommen (Das kann ein einfaches Feld sein mit 'Was ergibt 1+1?'), wenn dann in dem Feld keine 2 drinsteht Mail nicht versenden. Ist relativ zuverlässig, aber eben für richtige User lästig.

- Du könntest ein JavaScript einbauen, sodass der Absendebutton erst bei einer bestimmten Aktion aktiviert wird (bspw. Sobald in das erste Feld des Formulars geklickt wird, aktivierst du den Absenden Button). Oder du veränderst den Action Tag des Formulars beim editieren...

Naja gibt schon so einige Möglichkeiten - Ein unliebsames Übel bleibt's auf jeden Fall :-/

static

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über Webformular

Post by rootsvr » 2006-07-26 23:14

Das es reicht den Empfänger Hardgecoded zu haben ist ein gängiger Irrglaube. Das Problem liegt daran das in Irgendwelchen Header Fields (z.b. FROM: also dem Absender nicht geprüft wird ob NUR EINE Email drinnen steht. mit nBCC:armes@Spamopfer.tld oder ähnlichem kann man nämlich ganz einfach noch mehr da dran hängen..

Gute Seite zum lesen:
http://www.securephpwiki.com/index.php/Email_Injection

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Spam über Webformular

Post by static » 2006-07-27 13:03

rootsvr wrote:Das es reicht den Empfänger Hardgecoded zu haben ist ein gängiger Irrglaube. Das Problem liegt daran das in Irgendwelchen Header Fields (z.b. FROM: also dem Absender nicht geprüft wird ob NUR EINE Email drinnen steht. mit nBCC:armes@Spamopfer.tld oder ähnlichem kann man nämlich ganz einfach noch mehr da dran hängen..
Ja das gilt aber afaik nur, wenn eine Absenderadresse angegeben werden kann und diese auch direkt im Header verwendet wird. Und so wie ich das sehe ist das nicht sehr üblich, so auch beim OP :
bennle wrote:Von: WWW daemon apache [mailto:wwwrun@mein-server.de]
Damit hast du zwar grundsätzlich recht, trifft aber weder auf diesen Thread noch auf die gängigen Anwendungen zu.

Afaik gibt es keine Möglichkeit den Header aus dem Contentbereich zu beeinflussen - man möge mich bitte korrigieren sollte ich da was falsch verstanden / verpasst haben.

static

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über Webformular

Post by rootsvr » 2006-07-27 14:29

Das ist schon richtig, oft wir aber sowas benutzt:

mail("info@ichdaheim.tld", "vom Formular", $_POST['txt'], 'From: ' . $_POST['absender'] );
und das reicht nicht.

Aber wie gesagt.. ohne das er sein missbrauchtes Script zeigt braucht man wenig zu diskutieren.

Wenn man nur den message Teil übernimmt ist er fein raus, sollte aber eigentlich nicht 10000 Mails in der Queue haben (ob die jetzt alle an webmaster@ ging war nicht so klar). Gegen (dumme) bots helfen Captchas und co..